3,054
edits
Changes
From SME Server
Jump to navigationJump to search
mLine 9:
Line 9: − + + + + + Line 19:
Line 23: − + − + − + Line 31:
Line 35: − + − + − + Line 42:
Line 46: − + − + − + − + − + − First some background on ssh. Ssh allows people to connect to accounts on different machines in a secure way. Not only are passwords never passed in the clear, once you connect to a machine you are basically guaranteed that future connections will be to the same machine. This prevents many man-in-the-middle attacks.+ − One capability ssh has is the ability for a user to take the public identity key for a user on another machine and add it to a file of authorized keys on your machine. By default, the user on the other machine (who has the private identity key associated with the public identity key given to you) then has login privileges to your account. It is possible, though, to add text to an authorized key restricting the type of access a person accessing your account using that key has.+ − So to protect the downstream mirror, the key provided by the upstream mirror has text added to it to limit it to only give the person accessing your account permission to do one thing — start the program on your machine that updates your mirror. Even if someone (an evil third party) was able to break the key, the most they could do is to start the mirror program on your machine. You do not even have to worry about multiple copies of the program being started as a lockfile is used.+ − On the upstream end, rsync can be configured to restrict who can mirror a given area by username and password. These are totally separate from /etc/passwd so a push server doesn't have to worry about giving others access to their machine. As it is set up, the username and password are passed in the clear. This shouldn't be a problem though, as the worst that can happen is that a third party gains the ability to mirror the SME Server packages from that site.+ Line 102:
Line 106: − + − − − + − + − +
→Taille du disque dur
===Comment devenir un site miroir?===
===Comment devenir un site miroir?===
====PRéparer votre système====
Pour les francophes et afin de répartir la charge des miroirs primaires, il est une bonne idée de prendre contact avec [mailto:tests@pialasse.com[[User:Unnilennium|Unnilennium]]] aka Jean-Philippe Pialasse . Deux miroirs maitres sont possible de chaque coté de l'atlantique en alternative à ibiblio qui a fait défaut quelques fois cette dernière année.
====Préparer votre système====
<ol><li>Créeer un emplacement de stockage pour votre miroir<br/>
<ol><li>Créeer un emplacement de stockage pour votre miroir<br/>
<pre>mkdir -p {/path/to/your/data/store/}</pre>
<pre>mkdir -p {/path/to/your/data/store/}</pre>
</li><li>Rendre l'utilisateur propriétaire du dossier
</li><li>Rendre l'utilisateur propriétaire du dossier
chown -R {user} bin etc log .ssh {/path/to/your/data/store/}
chown -R {user} bin etc log .ssh {/path/to/your/data/store/}
</li><li>Nous avons installé tout ce qui est nécessaire. Il reste juste à paramétrer dans le fichier de configuration (etc/ftpsync.conf) le chemin vers les données (TO) in the config file . Utilisez votre éditeur favori à cette fin (mcedit, vim, vi, pico ...).</li></ol>
</li><li>Nous avons installé tout ce qui est nécessaire. Il reste juste à paramétrer dans le fichier de configuration (etc/ftpsync-smeserver.conf) le chemin vers les données (TO) in the config file . Utilisez votre éditeur favori à cette fin (mcedit, vim, vi, pico ...).</li></ol>
====Tester votre configuration====
====Tester votre configuration====
<ol><li>Maintenant c'Est le moment de faire votre synchronisation initiale ( et ainsi tester que le script fait ce qu'il est supposé faire)
<ol><li>Maintenant c'Est le moment de faire votre synchronisation initiale (et ainsi tester que le script fait ce qu'il est supposé faire)
<pre>su - {user} -s /bin/bash
<pre>su - {user} -s /bin/bash
~/bin/ftpsync</pre>
~/bin/ftpsync</pre>
</li><li>Vérifiez ensuite les logs pour à la recherche d’erreurs. Comme cette première synchro va prendr eplsuieurs heures, vous pouvez faire ceci dans une autre fenêtre terminal.:
</li><li>Vérifiez ensuite les logs pour à la recherche d’erreurs. Comme cette première synchro va prendre plusieurs heures, vous pouvez faire ceci dans une autre fenêtre terminal :
cd ~/log
cd ~/log
cat rsync-ftpsync.error.0
cat rsync-ftpsync.error.0
====Configurer le serveur web====
====Configurer le serveur web====
Vous devez configurer votre serveur web pour rendre les fichier accessible au public.
Vous devez configurer votre serveur web pour rendre les fichiers accessibles au public.
Pour cela vous devez penser à activer en même temps l'option FollowSymLinks dans la configuration d'Apache.
Pour cela, vous devez penser à activer en même temps l'option FollowSymLinks dans la configuration d'Apache.
Si votre miroir est hebergé sur un SME server 7.x (ou ultérieur), dans une ibay, vous pouvez faire ceci en utilisant la commande suivante suite à la création de l'ibay:
Si votre miroir est hébergé sur un SME server 7.x (ou ultérieur), dans une ibay, vous pouvez faire ceci en utilisant la commande suivante suite à la création de l'ibay :
db accounts setprop {ibayname} FollowSymLinks enabled
db accounts setprop {ibayname} FollowSymLinks enabled
====Garder votre miroir à jour====
====Garder votre miroir à jour====
Le script ftpsync permet deux méthodes de mise à jour : push ou pull.
Le script ftpsync permet deux méthodes de mise à jour : push ou pull.
{{Note box|Nous préférons que vous configuriez votre miroir en mode push car :
{{Note box|type=Note : nous préférons que vous configuriez votre miroir en mode push car :
* La synchronisation ne démarre que quand il y a des changements
* la synchronisation ne démarre que quand il y a des changements ;
* Les changements sont propagés en temps réel ou presque
* les changements sont propagés en temps réel ou presque ;
* Les changements peuvent être fait par étapes (synchroniser les données d'abord, les repodata ensuite)
* les changements peuvent être fait par étapes (synchroniser les données d'abord, les repodata ensuite) ;
* Moins de miroirs hors dates pour yum}}
* moins de miroirs hors dates pour yum.|}}
=====Pourquoi nous préférons push=====
=====Pourquoi nous préférons push=====
D'abord quelques informations de base sur ssh. Ssh permet de se connecter à des comptes sur différentes machines de façon sécuritaire. Non seulement les mots de passe ne sont jamais envoyé en clair, mais une fois connecté à une machine vous êtes garanti que les futures connexions se feront à la même machine. Ceci évite les attaques du type homme-au-milieu.
Une fonction de ssh est la possibilité pour un utilisateur de prendre la clef publique de l’utilisateur d'une autre machine et del'Ajouter aux clefs autorisé de sa machine. Par défaut, l'utilisateur sur l'autre machine ( qui possède la clef privée associée à la clef publique qui vous a été donnée) as le privilège de pouvoir se connecter à votre compte. Il est cependant possible d'ajouter du texte à une clef autorisée pour restreindre le type d’accès que peut faire cette personne.
Ainsi pour protéger le miroir esclave, la clef fournie par le miroir maitre a une option ajoutée pour limiter son utilisation à seulement — démarrer le programme de synchronisation sur votre machine. Ainsi même si un quelqu'un (un tiers mal intentionné) était capable de casser la clef, la seule chose qu'il pourrait faire c'est lancer une synchronisation sur votre machine. Ne vous souciez même pas du risque que plusieurs sessions puissent être lancées simultanément car un fichier lock est utiliser pour éviter cela.
Sur le serveur maitre, rsync peut être configuré pour restreindre qui peut mettre à jour une zone précise par nom et mot de passe. Ceux-ci sont indépendant de /etc/passwd, un serveur push n'a donc pas besoin de s’inquiéter de donner accès à leur machine. Une fois configuré. le nom d’utilisateur et le mot de passe, sont passé en clair. Ce qui ne doit être un problème car le pire que puisse faire un tiers mal intentionné serait de lancer une synchronisation du paquet SME Server depuis ce site.
(source: [http://www.debian.org/mirror/push_mirroring Debian: Push mirroring])
(source: [http://www.debian.org/mirror/push_mirroring Debian: Push mirroring])
===Options de Configuration===
===Options de Configuration===
Le fichier de configuration ftpsync est dans ~/etc/ftpsync.conf. Le fichier de configuration ftpsync a un nombre d'options que vous pouvez modifier. Vous devez en avoir vu certaines en modifiant le dossier de stockage des données.
Le fichier de configuration ftpsync est dans ~/etc/ftpsync-smeserver.conf. Le fichier de configuration ftpsync a un nombre d'options que vous pouvez modifier. Vous devez en avoir vu certaines en modifiant le dossier de stockage des données.
Le fichier de configuration est bien documenté.
Le fichier de configuration est bien documenté.
===Important===
===Important===
====Taille du disque dur====
====Taille du disque dur====
La taille de disque dur utilisée par contribs.org sera d'environ 30Gb, le dossier [http://mirror.contribs.org/smeserver/release /release], qui contient les images ISO et les dépôts yum, correspond à 6Gb du total. Le dossier [http://mirror.contribs.org/smeserver/contribs /contribs] correspond à 1Gb du total. Le dossier obsolete correspond à 16Gb, et le dossier testing qui contient lq future SME8 fait 7Gb du total.
La taille de disque dur utilisée par contribs.org sera d'environ 30 Gb, le dossier [http://mirror.contribs.org/smeserver/release /release], qui contient les images ISO et les dépôts yum, correspond à 6 Gb du total. Le dossier [http://mirror.contribs.org/smeserver/contribs /contribs] correspond à 1 Gb du total. Le dossier obsolète correspond à 16 Gb, et le dossier testing qui contient la future SME8 fait 7 Gb du total.
Si vous êtes à cours d'espace vous pouvez économiser 16Gb avec l'option --exclude="obsolete/" et 7Gb de plus with --exclude="testing/"
Si vous êtes à court d'espace vous pouvez économiser 16 Gb avec l'option --exclude="obsolete/" et 7 Gb de plus with --exclude="testing/"
====Bande passante====
====Bande passante====
A cause du [http://mirror.contribs.org/mirrors faible nombre de miroirs], la bande passante consomée sur votre serveur sera de l'ordre de 200Gb/mois, ce qui se traduit en une consommation moyenne de 80kB/s.
A cause du [http://mirror.contribs.org/mirrors faible nombre de miroirs], la bande passante consommée sur votre serveur sera de l'ordre de 200Gb/mois, ce qui se traduit en une consommation moyenne de 80kB/s.
===Vérifications===
===Vérifications===
Un miroir synchronisé tourne normalement tout seul, cependant il peut arriver que le serveur maitre fasse une maintenance, il est donc important de vérifier régulierement que la synchronisation se fait correctement sur votre miroir: page http://mirror.contribs.org/mirrors ou erreurs retournées par cron
Un miroir synchronisé tourne normalement tout seul, cependant il peut arriver que le serveur maitre fasse une maintenance, il est donc important de vérifier régulierement que la synchronisation se fait correctement sur votre miroir: page http://mirror.contribs.org/mirrors ou erreurs retournées par cron
